XX系统网络安全建议--初稿.docVIP

XX系统网络安全建议 为保证XX系统及相关数据的安全，根据《中华人民共和国计算机信息系统安全保护条例》、《GBT 22239-2008 信息安全技术 信息系统安全等级保护基本要求》，结合系统建设实际情况，特作出如下建议，安全措施及策略包含但不限于以下内容。 一、网络安全 1、架构安全 （1） 结合现有网络架构，建议XX在XX至XX专线接入点上增加网络安全设备，设备功能包含但不限于以下类别： 【1】基本防火墙功能：如黑白名单、访问控制、安全域划分等； 【2】NAT功能：如目的NAT、源NAT、双向NAT等； 【3】入侵检测与防御：如SYN-flood、蠕虫、木马、恶意软件等； 【4】反病毒及URL过滤：如自动在线更新病毒库及URL库； 【5】用户身份验证和接入控制； 【6】网络审计：基于用户对访问内容进行审计、溯源； 【7】智能报表：支持时间、流量、威胁、等多维度呈现报表； （2）应保证各关键网络设备的业务处理能力满足基本业务需要； （3）应保证接入网络和核心网络的带宽满足基本业务需要； （4）应绘制与当前运行情况相符的网络拓扑结构图。 （5）各单位应配备相应的网络安全设备进行防护； （6）应指定人员对网络进行管理，负责运行日志、网络监控记录的日常维护、报警信息的分析和处理工作； （7）应定期进行网络系统漏洞扫描，对发现的网络系统安全漏洞进行及时的修补。 2、访问控制安全 （1）应根据访问控制列表对源地址、目的地址、源端口、目的端口和协议等进行检查，以允许/拒绝数据包出入； （2）应通过访问控制列表对系统资源实现允许或拒绝用户访问，控制粒度至少为用户组； （3）应对登录设备、系统及数据库的用户进行身份鉴别； （4）应具有登录失败处理功能，可采取结束会话、限制非法登录次数、登录连接超时自动退出等措施； （5）当对设备或系统进行远程管理时，应采取必要措施防止鉴别信息在网络传输过程中被窃听； （6）当需要进行端口映射时，内外端口应不相同，对外只开放必要的服务和端口。所有管理权限应按照相关规定以最小权限原则进行授权。 3、主机安全 （1）应对登录操作系统和数据库系统的用户进行身份标识和鉴别。 （2）应启用主机系统防火墙，依据安全策略控制用户对资源的访问； （3）应限制默认帐户的访问权限，重命名系统默认帐户，修改这些帐户的默认口令； （4）应及时删除多余的、过期的帐户，避免共享帐户的存在。 （5）所有账户口令应满足密码复杂度要求，口令长度为8~16位，至少包含数字、大小字母、特殊字符中的任意三种及以上，且口令应设定周期进行修改； （6）操作系统应遵循最小安装的原则，仅安装需要的组件和应用程序，并保持系统补丁及时得到更新。 （7）windows版本操作系统应安装相应的防病毒软件进行防护； （8）终端用户PC机应做到物理上内外网隔离； （9）应安装系统的最新补丁程序，并在安装系统补丁前对现有的重要文件进行备份。 （10）应提高所有用户的防病毒意识， 告知及时升级防病毒软件， 在读取移动存储设备上的数据以及网络上接收文件或邮件之前，先进行病毒检查，对外来计算机或存储设备接入网络系统之前也应进行病毒检查。 4、安全事件处置 （1）应报告所发现的安全弱点和可疑事件，但任何情况下用户均不应尝试验证弱点； （2）应制定安全事件报告和处置管理制度， 规定安全事件的现场处理、 事件报告和后期恢复的管理职责。 （3）应提前制定应急预案，如消防应急演练、数据库宕机演练、网络攻击演练等，并且根据预案定期进行演练； 二、信息安全 1、资料安全 （1）文档、数据、配置参数等信息资料应有效组织、整理、归档备案。 （2）文档、数据、配置参数等机密信息应禁止外泄； （3）因工作需要翻阅文档、资料或者查询相关数据的外部人员，应经相关管理人员授权同意后方可查阅。 （4）重要资料、文档、数据等信息应采取对应的技术手段进行加密、存储和备份，对于加密的数据应保证其可还原性及可用性。 2、数据安全 （1）对于重要业务数据，应保证其完整性，避免在传输过程中受到破坏； （2）各单位应针对业务特点采取备份操作，根据实际情况选择全备、增量或差异，重要业务数据还应采取异地备份； （3）所有备份的数据应保证其可恢复性，针对重要业务数据，应不定期对备份数据进行可恢复性测试； 三、物理安全 1、资产安全 （1）所有主要设备应放置在核心机房内； （2）设备及系统内的任何数据都应严禁随意修改。如必须更改，应在更改之前上报，且做好数据备份，经管理人员批准后方可改动。改动后一周内确认系统或设备运行无误后，方可删除备份数据。 （3）应编制与信息系统相关的资产清单，包括资产责任部门、重要程度和所处位置等内容。 （4）应对信息系统相关的各种设备、线路等指定专门的部门或人员定期进行维护管理； （5）应建立基于申报、